Se supera el límite de objetos de dirección en Panorama las plataformas de gama baja administrada, incluso si "Compartir objetos de dirección y servicio no utilizados con dispositivo" está desactivado
25857
Created On 04/13/19 03:38 AM - Last Modified 04/26/21 17:04 PM
Symptom
Al insertar la configuración cambia grupos de dispositivos, de forma predeterminada Panorama inserta todos los objetos compartidos en firewalls, independientemente de si las reglas compartidas o de grupo de dispositivos policy hacen referencia a los objetos. Sin embargo, puede configurar Panorama para insertar solo los objetos compartidos a los que hacen referencia las reglas en los grupos de dispositivos. La opción Compartir objetos de dirección y servicio no utilizados con dispositivos permite limitar los objetos que Panorama insertan a los firewalls administrados.
Si "Compartir objetos de dirección y servicio no utilizados con dispositivo" está deshabilitado o desactivado, Panorama evalúa los objetos no utilizados al insertar la configuración en el dispositivo. Sin embargo, esta característica omite el "dispositivo de destino" en las reglas de seguridad al evaluar los objetos no utilizados.
Environment
Este artículo se aplica a toda la Panorama opción de soporte de PanOS para "Compartir objetos de dirección y servicio no utilizados con dispositivo"
Cause
Discutiremos el comportamiento mencionado en detalle. Por ejemplo, considere la siguiente Panorama policy estructura:
asuma una jerarquía y configuración simples del grupo de dispositivos Panorama como se indica a continuación:
Compartido:
DeviceGroup1
Firewall-1
DeviceGroup2
Firewall-2
Compartido:
Objetos de dirección
Dirección
Address2
Políticas
SharedPolicy1
Fuente : Address1
Dispositivo de destino : Firewall -2
DeviceGroup1:Objetos de dirección
Address3
Políticas
DG1-Policy1
Fuente : Address3
Dispositivo de destino : Todos
DeviceGroup2:
Objetos de dirección
Dirección4
Políticas
DG2-Policy1
Fuente : Address2
Dispositivo de destino : Todos
DG2-Policy2
Fuente : Address4
Dispositivo de destino : Todos
Así que la configuración empujada al Firewall -1 será:
Directivas:
DG1-Policy1
Fuente : Address3
Objetos de dirección:Dirección
Address3
La configuración insertadas a Firewall -2 será:
Directivas:
SharedPolicy1
Fuente : Address1
DG2-Policy1
Fuente : Address2
DG2-Policy2
Fuente : Address4
Objetos de dirección:Dirección
Address2
Dirección4
Objeto de dirección de aviso "Address1". Se definió en Jerarquía compartida y se utilizó en un shared Policy al que se tenía como destino un en solo firewall DeviceGroup2. Aún así, se insertará en Firewall -1, ya que la configuración del dispositivo de destino se ignora para la evaluación de objetos no utilizados
Resolution
Como resolución, debemos diseñar la jerarquía del grupo de dispositivos de una manera que las directivas que no están destinadas a determinados dispositivos no se coloquen en el grupo de dispositivos primarios o en la jerarquía compartida. Los firewalls con requisitos similares policy podrían agruparse en jerarquías de grupos de dispositivos independientes.
En el ejemplo anterior, SharedPolicy1 debería haberse puesto directamente en DeviceGroup2.
Additional Information
NOTE : La planificación de Panorama la configuración debe hacerse teniendo en cuenta las plataformas de menor capacidad que se están gestionando. El artículo anterior debe tenerse en cuenta incluso durante Panorama la planificación de la configuración para evitar problemas en el futuro cuando el tamaño de configuración escala.